Compartir:
){kind=small}
Oleksandr Bodriagov is a Product Manager focused on security at Vonage.
No es ningún secreto: gestionar las credenciales de seguridad de la API con Nexmo es fácil
Tiempo de lectura: 2 minutos
Si usted es un desarrollador que crea y mantiene aplicaciones para una gran empresa, es probable que tenga un conjunto de políticas que rigen la frecuencia con la que su equipo debe actualizar las credenciales de seguridad para cualquier API que utilicen sus aplicaciones. Las grandes empresas suelen aplicar estas políticas para minimizar la posibilidad de que alguien ajeno a la organización acceda a las API y utilice sus cuentas para actividades fraudulentas.
Nexmo, la plataforma API de Vonage, ofrece a todos los desarrolladores secretos de API para que puedan realizar llamadas de manera segura desde sus cuentas, así como controlar quiénes de sus usuarios internos tienen acceso a esas cuentas. Para los desarrolladores empresariales, la plataforma Nexmo ahora cuenta con una función que les permite implementar dos secretos de API para sus cuentas al mismo tiempo: Rotación de secretos.
Con la rotación de secretos, los desarrolladores empresariales pueden crear, probar y desplegar nuevos secretos de API sin tener que interrumpir una aplicación o servicio. Esto permite a los desarrolladores empresariales actualizar sus credenciales de API con regularidad, manteniendo un alto grado de seguridad, sin interrupciones.
Nexmo proporciona la función de rotación de secretos a través de la API de gestión de secretosque permite:
gestión programática de secretos de API.
control de la frecuencia de renovación del secreto API.
control de los secretos secundarios de la API.
Cada Account de Nexmo puede mantener dos secretos de API en cualquier momento. Con la API de gestión de secretos, puede crear un segundo secreto de API y probarlo antes de revocar el secreto de API existente en su red de producción. Este procedimiento de renovación de secretos está en línea con Directrices de identidad digital del NIST (NIST.SP.800-63b).
secret rotation
** Nexmo no establece ningún límite en la duración del secreto de la API. La caducidad del secreto de API se deja totalmente a discreción del cliente.
Las cuentas secundarias de Nexmo son una función empresarial que facilita la configuración de productos diferenciales, la elaboración de informes y la facturación. La API de gestión de secretos le permite gestionar cuentas secundarias API si las cuentas secundarias pertenecen a su cuenta principal. Como se muestra en el siguiente diagrama, puede crear mediante programación secretos para cualquiera de sus cuentas secundarias proporcionando las credenciales de su cuenta principal en la llamada a la API.
primary account
create secret for subaccount
La API de gestión de secretos actúa como punto único de gestión de los secretos de la API secundaria y simplifica la inicialización programática de las cuentas secundarias. Puede crear, probar, desplegar y revocar secretos para cuentas secundarias con las credenciales de su cuenta principal. Los usuarios de la API de gestión de secretos sólo tienen que tener en cuenta estas importantes especificaciones:
Las cuentas secundarias deben pertenecer a su cuenta principal.
Toda cuenta secundaria debe tener al menos un secreto de API, pero no más de dos simultáneamente. Los secretos de API deben ajustarse a requisitos de complejidad mínima.
Para obtener más información sobre cómo puede empezar a utilizar Secret Rotation, visite nuestra página de documentación de la API de gestión de secretos.